M 4.6 Revision der TK-Anlagenkonfiguration
Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Revisor
Nach jeder Konfigurationsveränderung, z. B. der Freigabe einer Berechtigung für einen Teilnehmer, sollte diese in eine Ist-Bestandsliste eingetragen werden. Diese Liste kann per Hand oder automatisiert geführt werden. In regelmäßigen (nicht unbedingt gleichmäßigen) Abständen (z. B. alle 6 Monate) sollte diese Ist-Bestandsliste zumindest stichprobenartig mit der Realität verglichen werden. Unstimmigkeiten sind mit Hilfe der Protokolle aufzuklären. Insbesondere sollte kontrolliert werden, ob
- alle nicht vergebenen Rufnummern auch wirklich nicht eingerichtet sind,
- verbotene Berechtigungen auch nirgendwo vergeben sind,
- deaktivierte Leistungsmerkmale auch wirklich inaktiv sind,
- deaktivierte Dial-In-Funktionen auch wirklich inaktiv sind.
Das BSI hat in Zusammenarbeit mit dem Zentralverband der Elektro- und Elektronikindustrie (ZVEI) einen Katalog von Anforderungen erarbeitet, der unter anderem auch Forderungen nach einer besseren Unterstützung von Revisionstätigkeiten beinhaltet. Dieser Katalog soll bei der Beschaffung neuer TK-Anlagen für Bundesbehörden zum Tragen kommen. Bei vorhandenen TK-Anlagen sollte überprüft werden, inwieweit die Hersteller solche verbesserten Möglichkeiten als Update anbieten können.
Ergänzende Kontrollfragen:
- Ist es möglich, aus den Unterlagen heraus Angaben, beispielsweise über die Berechtigungen bestimmter Anschlüsse, zu geben?
- Wann wurde die Dokumentation das letzte Mal an der Realität überprüft?