Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

10000:16

16 Datensicherung und Archivierung

VdS 10000
T1 Daten können unbrauchbar werden oder verloren gehen. Deshalb ist es notwendig, durch eine Datensicherung die Integrität und Verfügbarkeit der Daten sicherzustellen.
E1 Die Datensicherung SOLLTE auf Basis eines anerkannten Standards wie z. B. BSI-Standard 200-2 unter Berücksichtigung der IT-Grundschutz-Kataloge des BSI implementiert werden.
G1 Wenn eine andere Vorgehensweise gewählt wird, MÜSSEN die Anforderungen folgender Abschnitte erfüllt werden.

16.1 IS-Richtlinie

VdS 10000
G1 In Ergänzung zu Abschnitt 6.3 MÜSSEN in einer IS-Richtlinie die Speicherorte für die Daten der Organisation festgelegt werden.

16.2 Archivierung

VdS 10000
G1 Die Organisation MUSS prüfen, welche Daten archiviert werden müssen, um betrieblichen, gesetzlichen und vertraglichen Anforderungen zu genügen.

16.3 Verfahren

VdS 10000
G1 Für die Datensicherung, -wiederherstellung und -archivierung MÜSSEN Verfahren (siehe Anhang A 1) implementiert werden, die die folgenden Punkte sicherstellen:
G1.1 1. Die gesicherten Daten werden bei Übertragung, Lagerung und Transport vor Änderungen, Beschädigung, Verlust und unberechtigter Einsichtnahme geschützt.
E1.1 Der Schutz der Vertraulichkeit KANN z. B. durch eine Verschlüsselung der Daten oder der Sicherungsmedien erreicht werden.
G1.2 2. Die gesicherten Daten werden nicht im gleichen Brandabschnitt wie die gesicherten IT-Systeme aufbewahrt.
E1.2
G1.3 3. Die Datensicherung und -wiederherstellung wird jährlich oder bei einer Änderung des Verfahrens getestet, indem ein betroffenes IT-System nach dem Zufallsprinzip ausgewählt, gesichert und in einer Testumgebung wiederhergestellt wird.
E1.3 Die Tests SOLLTEN ohne Unterstützung durch den jeweiligen Verantwortlichen für die Datensicherung erfolgen. Vielmehr SOLLTEN sie von einem anderen Mitarbeiter anhand der vorliegenden Dokumentation bewältigt werden.
G1.4 4. Die Durchführung und die Ergebnisse der Tests werden dokumentiert.
E2 Die Verfahren SOLLTEN darüber hinaus die folgenden Punkte sicherstellen:
E2.1 1. Einzelne Datensicherungen werden in festen zeitlichen Abständen (z. B. wöchentlich) an einen entfernten Standort ausgelagert, damit die gesicherten Daten auch bei größeren Schadensereignissen verfügbar bleiben.
E2.2 2. Die Datensicherung wird nach dem Mehr-Generationen-Prinzip durchgeführt, um die Wahrscheinlichkeit eines umfangreichen Datenverlusts weiter zu verringern.

16.4 Weiterentwicklung

VdS 10000
G1 Der ISB MUSS jährlich prüfen, ob Änderungen an IT-Systemen sowie an betrieblichen, gesetzlichen oder vertraglichen Rahmenbedingungen eine Anpassung der Sicherungs-, Wiederherstellungs- und/oder Archivierungsverfahren erforderlich machen.
G2 Notwendige Anpassungen MÜSSEN zeitnah implementiert werden.

16.5 Basisschutz

VdS 10000
B1 Die Maßnahmen der folgenden Abschnitte MÜSSEN, sofern eine entsprechende Funktionalität gegeben ist, für Speicherorte (siehe Abschnitt 16.1), Server, aktive Netzwerkkomponenten und mobile IT-Systeme implementiert werden.
E1 Wenn eine entsprechende Funktionalität nicht gegeben ist, SOLLTE dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden.
B2 Wenn Maßnahmen nicht umgesetzt werden, obwohl eine entsprechende Funktionalität vorhanden ist, MUSS dem dadurch entstehenden Risiko durch eine Risikoanalyse und -behandlung (siehe Anhang A 2) begegnet werden.

16.5.1 Speicherorte

VdS 10000
B1 Speicherorte MÜSSEN so gesichert werden, dass ihr letzter vollständig wiederherstellbarer Zustand nicht älter als 24 Stunden ist.

16.5.2 Server

VdS 10000
B1 Server MÜSSEN so gesichert werden, dass ihr letzter vollständig wiederherstellbarer Zustand (Systemsoftware, Konfigurationen, Anwendungssoftware, Anwendungs-, Logdaten, usw.) nicht älter als 24 Stunden ist.

16.5.3 Aktive Netzwerkkomponenten

VdS 10000
B1 Systemsoftware und Konfiguration der aktiven Netzwerkkomponenten MÜSSEN nach jeder Änderung gesichert werden.

16.5.4 Mobile IT-Systeme

VdS 10000
B1 Es MUSS eine Vorgehensweise für die Datensicherung von einem Administrator vorgegeben werden.

16.6 Zusätzliche Maßnahmen für kritische IT-Systeme

VdS 10000
Z1 Jedes kritische IT-System MUSS über eine Datensicherung verfügen, die in Ergänzung zu Abschnitts 16.5 folgende Anforderungen erfüllt.

16.6.1 Risikoanalyse

VdS 10000
Z1 Im Zuge der Risikoanalyse und -behandlung (siehe Abschnitt 10.5.1) MÜSSEN die Folgen eines Datenverlusts analysiert und dabei der MTD bestimmt werden.

16.6.2 Verfahren

VdS 10000
Z1 Die Verfahren zur Datensicherung und -wiederherstellung MÜSSEN in Ergänzung zu Abschnitt 16.3 folgende Punkte sicherstellen:
Z1.1 1. Kritische IT-Systeme werden vollständig gesichert (Systemsoftware, Konfigurationen, Anwendungssoftware, Anwendungs-, Logdaten, usw.).
Z1.2 2. Der MTD wird nicht überschritten.
Z1.3 3. Die Wiederherstellung innerhalb der MTA wird gewährleistet, sofern keine Ersatzsysteme oder –verfahren verfügbar sind (siehe Abschnitt 10.5.9).
10000/16.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.