Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

10000:10

10 IT-Systeme

VdS 10000
T1 Die Informationsverarbeitung einer Organisation geschieht zum größten Teil elektronisch. Es ist deshalb notwendig, IT-Systeme strukturiert zu verwalten und abzusichern.

10.1 Inventarisierung

VdS 10000
G1 Es MUSS eine Inventarisierung vorhanden sein, in der alle IT-Systeme der Organisation verzeichnet sind.
G2 Die Inventarisierung MUSS durch entsprechende Verfahren (siehe Abschnitte 10.2.1 und 10.2.2) vollständig und aktuell gehalten werden.
G3 In ihr MÜSSEN folgende Informationen für jedes IT-System verzeichnet sein:
G3.1 1. eindeutiges Identifizierungsmerkmal
G3.2 2. Informationen, die eine schnelle Lokalisierung erlauben
G3.3 3. Einsatzzweck
E1 Darüber hinaus SOLLTEN für jedes IT-System weitere Informationen erhoben und aktuell gehalten werden, wie z. B. Namen, Versionen und Lizenzinformationen der installierten System- und Anwendungssoftware, Seriennummern von Hardwarekomponenten sowie Informationen über Garantien und Serviceverträge.
E2 Besonderheiten der Installation und Konfiguration SOLLTEN in einer Dokumentation verzeichnet sein.

10.2 Lebenszyklus

VdS 10000
T1 IT-Systeme bilden eine abgeschlossene Funktionseinheit aus Hard- und Software (siehe Abschnitt 10.3). Sie unterliegen einem Lebenszyklus, der sich üblicherweise von der Inbetriebnahme bis zu deren Ausmusterung erstreckt.

10.2.1 Inbetriebnahme und Änderung

VdS 10000
G1 Es MUSS ein Verfahren (siehe Anhang A 1) für die Inbetriebnahme und Änderung der IT-Systeme implementiert werden, das folgende Punkte sicherstellt:
G1.1 1. Es wird ermittelt, ob das IT-System kritisch ist (siehe Abschnitt 9.3).
G1.2 2. Der Basisschutz (siehe Abschnitt 10.3) wird umgesetzt.
G1.3 3. Die Inventarisierung der IT-Systeme (siehe Abschnitt 10.1) und der Netzwerkplan (siehe Abschnitt 11.1) werden aktualisiert.
G1.4 4. Bei Inbetriebnahme werden die Arbeitsschritte dokumentiert.

10.2.2 Ausmusterung und Wiederverwendung

VdS 10000
G1 Es MUSS ein Verfahren (siehe Anhang A 1) für das Ausmustern und Wiederverwenden der IT-Systeme implementiert werden, das folgende Punkte sicherstellt:
G1.1 1. Die auf dem IT-System gespeicherten Informationen werden bei Bedarf gesichert bzw. archiviert.
G1.2 2. Alle Informationen werden vor unrechtmäßigem Zugriff geschützt, indem sie z. B. zuverlässig gelöscht, überschrieben, aus dem IT-System entfernt werden oder indem das IT-System insgesamt zerstört wird.
G1.3 3. Die Inventarisierung der IT-Systeme (siehe Abschnitt 10.1) und der Netzwerkplan (siehe Abschnitt 11.1) werden aktualisiert.
G1.4 4. Bei Ausmusterung werden die Arbeitsschritte dokumentiert.

10.3 Basisschutz

VdS 10000
B1 Die Maßnahmen der folgenden Abschnitte MÜSSEN, sofern eine entsprechende Funktionalität gegeben ist, für alle IT-Systeme implementiert werden.
E1 Wenn eine entsprechende Funktionalität nicht gegeben ist, SOLLTE dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden.
B2 Wenn Maßnahmen nicht umgesetzt werden, obwohl eine entsprechende Funktionalität vorhanden ist, MUSS dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden.

10.3.1 Software

VdS 10000
B1 System- und Anwendungssoftware MUSS aus vertrauenswürdigen Quellen bezogen werden.
E1 Es SOLLTE ausschließlich System- und Anwendungssoftware eingesetzt werden, die Sicherheitsupdates des Herstellers erhält.
E2 Es SOLLTE nur Software auf IT-Systemen installiert werden, die zur Aufgabenerfüllung benötigt wird; nicht benötigte Software SOLLTE deinstalliert werden.
E3 Sämtliche Zugriffsrechte und Privilegien der Anwendungssoftware SOLLTEN auf ein Mindestmaß reduziert werden.
B2 Vom Hersteller zur Verfügung gestellte Sicherheitsupdates für die System- und Anwendungssoftware MÜSSEN nach einem implementierten Verfahren (siehe Anhang A 1) getestet, bei Eignung freigegeben und nach ihrer Freigabe umgehend installiert werden.

10.3.2 Beschränkung des Netzwerkverkehrs

VdS 10000
B1 Der Netzwerkverkehr von und zu IT-Systemen MUSS auf das für die Funktionsfähigkeit notwendige Minimum beschränkt werden, wenn eines der folgenden Kriterien zutrifft:
B1.1 1. Es existieren über das Netzwerk ausnutzbare Schwachstellen, die nicht behoben werden (z. B. wenn keine Sicherheitsupdates installiert werden können, Passwörter nicht geändert werden können oder unsichere technische Verfahren eingesetzt werden).
B1.2 2. Es handelt sich um besonders exponierte IT-Systeme (z. B. um IT-Systeme, die aus dem Internet erreichbar, oder die in öffentlich zugänglichen Räumen platziert sind oder die in weniger vertrauenswürdigen Umgebungen eingesetzt werden).
E1 Zusätzlich SOLLTE der Netzwerkverkehr von und zu IT-Systemen, für die die Organisation keinen administrativen Zugang besitzt, auf das für die Funktionsfähigkeit notwendige Minimum beschränkt werden.
E2 Die Beschränkung des Netzwerkverkehrs KANN bspw. durch eine geeignete Segmentierung des Netzwerks (siehe Abschnitt 11.4.2), lokale Filtermechanismen oder durch das Deaktivieren nicht benötigter Dienste erfolgen.

10.3.3 Protokollierung

VdS 10000
B1 Jedes IT-System MUSS erfolgreiche und erfolglose Anmeldeversuche, Fehler und Informationssicherheitsereignisse protokollieren.
E1 Protokolldaten SOLLTEN zentral gespeichert werden.
B2 Protokolldaten MÜSSEN 6 Monate lang aufbewahrt werden, sofern keine gesetzlichen Lösch- oder Aufbewahrungspflichten entgegenstehen.
B3 Die Uhren aller IT-Systeme MÜSSEN auf eine gemeinsame Zeit synchronisiert sein, um Auswertungen von Logeinträgen zu ermöglichen.

10.3.4 Externe Schnittstellen und Laufwerke

VdS 10000
E1 Externe Schnittstellen und Laufwerke, die nicht für die Aufgabenerfüllung benötigt werden, SOLLTEN ausgebaut, stillgelegt, deaktiviert oder anderweitig für Nutzer unzugänglich gemacht werden.

10.3.5 Schadsoftware

VdS 10000
B1 Alle IT-Systeme MÜSSEN über einen Schutz vor Schadsoftware verfügen.
B2 Jedes IT-System MUSS mit Hilfe geeigneter Software täglich vollständig auf Anwesenheit von Schadsoftware untersucht werden.
E1 Darüber hinaus SOLLTEN alle IT-Systeme über einen Echtzeitschutz verfügen, der alle Dateien bei Zugriff auf Schadsoftware prüft.
E2 Bei IT-Systemen mit einem Echtzeitschutz KANN die vollständige Untersuchung auf Schadsoftware auf einen wöchentlichen Rhythmus reduziert werden.
B3 Das Ausführen erkannter Schadsoftware MUSS verhindert werden.
B4 Die Software zum Schutz gegen Schadsoftware MUSS automatisch in kurzen zeitlichen Abständen (z. B. stündlich oder täglich) nach den neuesten Suchmustern der Hersteller suchen und diese verwenden.

10.3.6 Starten von fremden Medien

VdS 10000
B1 Es MUSS sichergestellt werden, dass IT-Systeme nur von autorisierten Medien gestartet werden können.
E1 Dies KANN z. B. über BIOS-Passwörter oder über einen Zutrittsschutz umgesetzt werden.

10.3.7 Authentifizierung

VdS 10000
B1 Der Zugang zu allen nichtöffentlichen Bereichen der IT-Systeme MUSS durch geeignete Anmeldeverfahren abgesichert werden, die eine Authentifizierung verlangen.
B2 Die Anmeldeverfahren MÜSSEN folgende Punkte sicherstellen:
B2.1 1. Das systematische Ausprobieren von Anmeldeinformationen wird erschwert.
B2.2 2. Interaktive Sitzungen werden beendet oder gesperrt, wenn der Nutzer innerhalb einer vorgegebenen Zeitspanne keine Eingaben tätigt.
B2.3 3. Erfolgt die Anmeldung über ein Netzwerk, so wird die Vertraulichkeit und Integrität der Anmeldeinformationen (z. B. mit Hilfe entsprechender Authentifizierungsprotokolle) sichergestellt.
B3 Damit die Anmeldeverfahren zuverlässig arbeiten können, MÜSSEN folgende Punkte sichergestellt werden:
B3.1 1. Zugänge werden strukturiert verwaltet (siehe Kapitel 15).
B3.2 2. Es werden zuverlässige Authentifizierungsmechanismen verwendet.
B3.3 3. Es werden keine trivialen Authentifizierungsmerkmale (z. B. Standard-Passwörter oder einfach zu erratende Passwörter) verwendet.
E1 Es SOLLTE Mehr-Faktor-Authentifizierung eingesetzt werden, um die Gefahr eines unberechtigten Zugangs zu verringern, insbesondere wenn Nutzer umfangreiche Zugriffsrechte besitzen.

10.3.8 Zugänge und Zugriffe

VdS 10000
B1 Es MUSS sichergestellt werden, dass Nutzer keine administrativen Arbeiten durchführen können.
E1 Dies KANN mit Hilfe getrennter Zugänge und geeigneter Zugriffsrechte umgesetzt werden.
E2 Darüber hinaus SOLLTEN folgende Anforderungen erfüllt werden:
E2.1 1. Nutzer können nur auf Informationen lesend zugreifen, wenn dies für die Erfüllung ihrer Aufgaben notwendig ist („Need-to-Know“).
E2.2 2. Nutzer können nur auf Informationen schreibend zugreifen, wenn dies für die Erfüllung ihrer Aufgaben notwendig ist („Least-Privileges“).

10.4 Zusätzliche Maßnahmen für mobile IT-Systeme

VdS 10000
T1 Mobile IT-Systeme sind in besonderer Weise Gefährdungen durch Diebstahl, unautorisierten Zutritt oder unsichere Netze ausgesetzt, die zusätzliche Maßnahmen erforderlich machen.
G1 Folgende Maßnahmen MÜSSEN für alle mobilen IT-Systeme umgesetzt werden.

10.4.1 IS-Richtlinie

VdS 10000
G1 In Ergänzung zu Abschnitt 6.3 MÜSSEN in einer IS-Richtlinie Regelungen für den Umgang mit mobilen IT-Systemen getroffen werden:
G1.1 1. Es wird festgelegt, welche Informationen auf den mobilen IT-Systemen erhoben, verarbeitet, gespeichert und übertragen werden dürfen.
G1.2 2. Die Verantwortung für die Datensicherung wird definiert.
G1.3 3. Die Nutzer werden über die spezifischen Risiken mobiler IT-Systeme (z. B. Gefahren durch Ausspähung bei der Nutzung in der Öffentlichkeit, Verlust oder Diebstahl) informiert und zur Ergreifung entsprechender Gegenmaßnahmen verpflichtet.
G1.4 4. Es wird untersagt, mobile IT-Systeme an unberechtigte Dritte weiterzugeben.
G1.5 5. Es wird definiert, ob und welche Software auf den mobilen IT-Systemen von den Nutzern installiert werden darf.
G1.6 6. Es wird definiert, ob und unter welchen Bedingungen ein Administrator das mobile IT-System orten darf.
G1.7 7. Es wird definiert, ob und unter welchen Bedingungen ein Administrator die auf einem mobilen IT-System gespeicherten Informationen aus der Ferne löschen darf.

10.4.2 Schutz der Informationen

VdS 10000
G1 Die auf dem mobilen IT-System gespeicherten Informationen der Organisation MÜSSEN vor dem Verlust ihrer Vertraulichkeit und Integrität geschützt werden.
E1 Der Schutz der Vertraulichkeit KANN z. B. durch eine Verschlüsselung der Datenträger erreicht werden.

10.4.3 Verlust

VdS 10000
G1 Es MÜSSEN Verfahren (siehe Anhang A 1) implementiert werden, die festlegen, wie Nutzer und Administratoren bei Verlust eines mobilen IT-Systems vorzugehen haben.
G2 Die Verfahren MÜSSEN insbesondere festlegen, wie und an wen der Verlust zu melden ist und welche Sofortreaktion erfolgt.
G3 Die Verfahren MÜSSEN sicherstellen, dass die auf dem Gerät hinterlegten Zugänge der Organisation nach der Verlustmeldung nicht unberechtigt genutzt werden können (z. B. indem die entsprechenden Authentifizierungsmerkmale umgehend zurückgesetzt oder indem Anrufweiterleitungen modifiziert sowie Sprachnachrichten gelöscht werden).
G4 Der Verlust eines mobilen IT-Systems MUSS als Sicherheitsvorfall (siehe Kapitel 18) behandelt werden.

10.5 Zusätzliche Maßnahmen für kritische IT-Systeme

VdS 10000
Z1 Folgende Maßnahmen MÜSSEN zusätzlich für alle kritischen IT-Systeme umgesetzt werden.
Z2 Wenn Maßnahmen nicht umgesetzt werden, MUSS dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden.

10.5.1 Risikoanalyse und -behandlung

VdS 10000
Z1 Für kritische IT-Systeme MUSS eine Risikoanalyse und –behandlung etabliert werden (siehe Anhang A 2).

10.5.2 Notbetriebsniveau

VdS 10000
E1 Für jedes kritische IT-System SOLLTE ein Notbetriebsniveau definiert werden.

10.5.3 Robustheit

VdS 10000
Z1 Auf kritischen IT-Systemen DÜRFEN KEINE Entwicklungen oder Tests durchgeführt werden.
Z2 Auf kritischen IT-Systemen MÜSSEN alle Netzwerkdienste, die nicht zur Aufgabenerfüllung benötigt werden, deinstalliert, abgeschaltet oder durch geeignete Filtermechanismen unzugänglich gemacht werden.

10.5.4 Externe Schnittstellen und Laufwerke

VdS 10000
Z1 Externe Schnittstellen und Laufwerke, die nicht für die Aufgabenerfüllung benötigt werden, MÜSSEN ausgebaut, stillgelegt, deaktiviert oder anderweitig für Nutzer unzugänglich gemacht werden.

10.5.5 Änderungsmanagement

VdS 10000
Z1 Änderungen, die auf kritischen IT-Systemen umgesetzt werden sollen, MÜSSEN zuvor in einer Testumgebung getestet und freigegeben worden sein.
Z2 Für kritische IT-Systeme MUSS ein Mechanismus vorhanden sein, der sicherstellt, dass bei einer Fehlfunktion oder einem Ausfall des IT-Systems aufgrund einer Änderung sein ursprünglicher Zustand innerhalb seiner MTA wiederhergestellt werden kann, sofern keine Ersatzsysteme oder –verfahren verfügbar sind (siehe Abschnitt 10.5.9).

10.5.6 Dokumentation

VdS 10000
Z1 Für jedes kritische IT-System MUSS eine Dokumentation vorhanden sein.
Z2 Anhand der Dokumentation MUSS es fachlich versierten Personen möglich sein, folgende Punkte nachzuvollziehen:
Z2.1 1. wer für das IT-System verantwortlich ist
Z2.2 2. wie und mit welchen Zugängen und Authentifizierungsmerkmalen der administrative Zugang zum IT-System möglich ist
Z2.3 3. welche grundlegenden Designentscheidungen bei der Installation getroffen wurden
Z2.4 4. welche Änderungen vorgenommen wurden
Z2.5 5. wann sie vorgenommen wurden
Z2.6 6. wer sie vorgenommen hat
Z2.7 7. warum sie vorgenommen wurden

10.5.7 Datensicherung

VdS 10000
Z1 Alle kritischen IT-Systeme MÜSSEN über eine Datensicherung (siehe Abschnitt 16.6) verfügen.

10.5.8 Überwachung

VdS 10000
Z1 Es MUSS überwacht werden, ob sich kritische IT-Systeme im Regelbetrieb befinden.
Z2 Dabei MUSS sichergestellt werden, dass der Ausfall eines kritischen IT-Systems erkannt und entsprechende Gegenmaßnahmen eingeleitet werden.
E1 Darüber hinaus SOLLTEN die Ressourcen kritischer IT-Systeme überwacht werden, um Engpässe zu erkennen, bevor sie akut werden.

10.5.9 Ersatzsysteme und -verfahren

VdS 10000
Z1 Wenn ein kritisches IT-System innerhalb seiner MTA nicht wiederhergestellt werden kann, MUSS die Organisation über ein Ersatzsystem oder –verfahren verfügen, das es ermöglicht, die vom kritischen IT-System abhängigen zentralen Prozesse und Prozesse mit hohem Schadenspotential weiter zu betreiben.
E1 Das Ersatzsystem oder –verfahren SOLLTE das Notbetriebsniveau (siehe Abschnitt 10.5.2) des kritischen IT-Systems sicherstellen.

10.5.10 Kritische Individualsoftware

VdS 10000
Z1 Die Organisation MUSS durch vertragliche und/oder organisatorische Regelungen sicherstellen, dass sie kritische Individualsoftware auch in Zukunft verwenden und ihren Bedürfnissen anpassen kann.
10000/10.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.