M 2.352 Erstellung einer Sicherheitsrichtlinie für NAS-Systeme

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Ein NAS-System ist als zentraler Datenspeicher für Abläufe und Geschäftsprozesse in der Institution essentiell. Der sichere und ordnungsgemäße Betrieb kann nur sichergestellt werden, wenn Stationierung, Administration und Betrieb in die bestehenden sicherheitstechnischen Vorgaben integriert sind.

Die zentralen sicherheitstechnischen Anforderungen und das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie und sollten in einer spezifischen Sicherheitsrichtlinie für NAS-Systeme formuliert werden. Damit wird die übergeordnete und allgemein formulierte Sicherheitsleitlinie in ihrer Anwendung auf NAS-Systeme konkretisiert.

Für die Erstellung einer Sicherheitsrichtlinie für NAS-Systeme ist zuerst die Maßnahme M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Systeme mit einer Server-Funktion vorgestellt. Für die Erstellung einer Sicherheitsrichtlinie für NAS müssen dann Festlegungen gemäß des Einsatzgebietes des NAS-Systems spezifiziert werden.

Die allgemeine Administrations- und Konfigurationsstrategie für das NAS ("Liberal" oder "Restriktiv") sollte entsprechend des Schutzbedarfs der damit verarbeiteten Informationen und den darauf zugreifenden Anwendungen entwickelt werden.

Zusätzlich sind bei den einzelnen Bereichen der NAS-Sicherheitsrichtlinie folgende Punkte zu beachten:

Die Sicherheitsrichtlinie für NAS-Systeme muss für alle Beteiligten zugreifbar sein. Sie muss regelmäßig aktualisiert werden.

Ergänzende Kontrollfragen: