M 2.218 Regelung der Mitnahme von Datenträgern und IT-Komponenten
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT
Die IT-Komponenten, die innerhalb einer hauseigenen Liegenschaft eingesetzt werden, sind im Allgemeinen durch infrastrukturelle Sicherheitsmaßnahmen ausreichend vor Missbrauch und Diebstahl geschützt. Häufig sollen aber IT-Systeme oder Datenträger auch außer Haus eingesetzt werden, z. B. bei Dienstreisen oder Telearbeit. Um auch diese ausreichend schützen zu können, muss die Mitnahme von Datenträgern und IT-Komponenten klar geregelt werden.
Dabei muss festgelegt werden,
- welche IT-Komponenten bzw. Datenträger außer Haus mitgenommen werden dürfen,
- wer IT-Komponenten bzw. Datenträger außer Haus mitnehmen darf,
- welche grundlegenden Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz, Verschlüsselung sensitiver Daten, Aufbewahrung, etc.).
Die Art und der Umfang der anzuwendenden Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz- bzw. Aufbewahrungsorte ab.
Grundsätzlich sollte für alle IT-Komponenten, die extern eingesetzt werden sollen, eine entsprechende Genehmigung eingeholt werden.
Bei größeren Institutionen, bei denen der Zutritt zu den Liegenschaften durch Pförtner bzw. Wachdienste kontrolliert wird, sollte überlegt werden, ob diese angewiesen werden sollten, in Stichproben zu überprüfen, inwieweit die Regelungen für die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden.
Außerhalb der organisationseigenen Liegenschaften sind die Benutzer für den Schutz der ihnen anvertrauten IT verantwortlich. Darauf und auf die zu ergreifenden Vorsichtsmaßnahmen sind sie hinzuweisen. Dazu gehören folgende Regeln:
- IT-Systeme müssen stets sicher aufbewahrt werden. Bei Dienstreisen sollten sie nicht unbeaufsichtigt gelassen werden. Insbesondere sollten sie nicht in Fahrzeugen zurückgelassen werden (siehe auch M 1.33 Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz ).
- IT-Systeme wie Laptops oder Mobiltelefone und deren Anwendungen können im Allgemeinen durch PINs oder Passwörter abgesichert werden. Diese Mechanismen sollten auch genutzt werden.
- IT-Systeme oder Datenträger, die sensitive Daten enthalten, sollten möglichst komplett verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme ).
- Die Verwaltung, Wartung und Weitergabe von extern eingesetzten IT-Systemen sollte geregelt werden. Hierzu können beispielsweise Pools eingerichtet werden (siehe auch M 1.35 Sammelaufbewahrung tragbarer IT-Systeme bzw. M 2.190 Einrichtung eines Mobiltelefon-Pools ).
- Es sollte protokolliert werden, wann und von wem welche IT-Komponenten außer Haus eingesetzt wurden.
Prüffragen:
- Gibt es Regelungen für die Mitnahme von Datenträgern und Komponenten?
- Werden die Benutzer von extern eingesetzten IT -Komponenten auf die Regelungen hingewiesen, die von ihnen einzuhalten sind?
- Hoher Schutzbedarf bezüglich Vertraulichkeit: Werden mobile IT -Systeme oder Datenträger durch vollständige Verschlüsselung der Datenträger geschützt?
- Werden die angebotenen Authentisierungsmechanismen genutzt, wenn IT -Komponenten extern eingesetzt werden?