M 2.288 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Vor dem Einsatz von z/OS-Systemen müssen Sicherheitsrichtlinien für das z/OS-System und besonders auch für das Sicherheitssystem RACF (Resource Access Control Facility) geplant und festgelegt werden. Es sind folgende Empfehlungen zu berücksichtigen:
- Die z/OS-Systeme müssen in das unternehmens- bzw. behördenweite IT-Sicherheitsmanagement eingebunden werden.
- Wie in Maßnahme M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen beschrieben, ist ein Verfahren zur Verwaltung der Benutzer des z/OS-Systems und deren Kennungen zu erstellen.
- Es muss eine Richtlinie zum Gebrauch des Notusers erstellt werden (siehe Maßnahme M 6.93 Notfallvorsorge für z/OS-Systeme).
- Eine Richtlinie zur Wiederherstellung der RACF-Datenbank unter z/OS muss erstellt werden (siehe Maßnahme M 6.93 Notfallvorsorge für z/OS-Systeme).
- Ein Berechtigungsprozess für den Zugriff auf sicherheitskritische System-Ressourcen, wie z. B. APF -Dateien (Authorized Programming Facility), SVCs (SuperVisor Calls) usw., muss beschrieben und eingeführt sein.
- Ein Audit-Verfahren, wie in Maßnahme M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS beschrieben, bzw. ein Monitoring-Verfahren, wie in Maßnahme M 2.292 Überwachung von z/OS-Systemen beschrieben, müssen etabliert sein.
- Ein Eskalations- und Meldeverfahren muss aufgebaut sein. In ihm muss festgelegt sein, wer Sicherheits-Verstöße erkennt, weitermeldet und welche Abwehrmaßnahmen zu ergreifen sind.
- Eine Dokumentation zu Aufbau und Funktion eines Notsystems, wie in Maßnahme M 6.93 Notfallvorsorge für z/OS-Systeme beschrieben, muss erstellt sein (gilt nur für Einzel-Systeme).
- Es sollte eine Prüfliste mit Kontrollfragen erstellt werden, die alle wichtigen sicherheitsrelevanten Einstellungen des z/OS-Systems erfasst und deren Soll-Werte festlegt. Anhand dieser Prüfliste werden die Arbeitsanweisungen für die System- und RACF-Administratoren erstellt. Die Prüfliste dient dem Auditor als Basis für die Überprüfung der Systemsicherheit. In regelmäßigen Abständen muss die Prüfliste überarbeitet werden. Als Basis für eine solche Prüfliste können die Maßnahmen M 4.211 Einsatz des z/OS-Sicherheitssystems RACF und M 4.209 Sichere Grundkonfiguration von z/OS-Systemen dienen.
Ergänzende Kontrollfragen:
- Ist eine Prüfliste für Sicherheitseinstellungen vorhanden?
- Ist ein Verfahren für Audit und/oder Monitoring eingeführt?
- Ist das Eskalations- und Meldeverfahren beschrieben und in die Praxis umgesetzt?