M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Zur Überwachung aller sicherheitsrelevanten Tätigkeiten muss ein Prozess eingerichtet werden. In diesem muss festgelegt sein, welche Sicherheitsreports regelmäßig erstellt werden und wie mit Abweichungen von den Vorgaben umgegangen wird. Diese Sicherheitsreports sollten als Information für den Auditor verwendet werden.

Darüber hinaus müssen zur Erhöhung der Betriebssicherheit eines z/OS-Systems regelmäßig Sicherheits-Audits durchgeführt werden. Durch solche Audits wird überprüft, ob die geforderten Sicherheitseinstellungen und Abläufe eingehalten werden. Vorgaben hierfür finden sich in M 2.288 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme.

Sicherheits-Berichtswesen

SMF-Sätze (System Management Facility) als Quelle des Berichtswesens

Für die Überwachung der Informationssicherheit von z/OS-Systemen sind die SMF-Sätze des Typs 80 von Bedeutung. Sie protokollieren alle Zugriffe auf Ressourcen, die durch RACF-Profile geschützt werden. In diesen Profilen kann durch RACF-Definitionen festgelegt werden, ob nur unerlaubte oder auch erlaubte Zugriffe protokolliert werden. Unerlaubte Zugriffe müssen in jedem Fall protokolliert werden. Bei systemkritischen Dateien sollten in einem Produktionssystem auch die erlaubten Zugriffe über SMF erfasst werden, wenn die Datei dabei geändert wird. Beim Protokollieren über SMF-Sätze sollte immer darauf geachtet werden, dass durch das Aktivieren von SMF-Funktionen nicht zu viele Logdaten entstehen. Die Kapazität und die Performance des Systems darf nicht zu stark beeinträchtigt werden.

Es muss sichergestellt werden, dass der SMF-Satz Typ 80 auch wirklich geschrieben wird. Dies wird im Member SMFPRM00 in der Parmlib definiert. Der Schutz der Parmlib ist in Maßnahme M 4.209 Sichere Grundkonfiguration von z/OS-Systemen näher beschrieben.

Einsatz von Tools

z/OS-Sicherheits-Audits

Unabhängigkeit der Auditoren

Die Durchführung der Audits muss durch unabhängige Auditoren erfolgen, d. h. das durchführende Personal darf sich und seine Arbeit nicht selbst auditieren.

Die Auditoren müssen z/OS-System- und RACF-Kenntnisse zur Durchführung ihrer Tätigkeit haben. Diese Kenntnisse sind durch regelmäßige Schulungen zu erwerben bzw. zu aktualisieren.

Autorisierung der Auditoren

Die Auditoren müssen Zugangsberechtigung zum System mit dem RACF-Attribut AUDITOR haben. Auch für die Files in HFS-Dateien muss dieses Attribut im jeweiligen FSP (File Security Packet) aktiviert sein.

Kontrolle über SMF-Sätze

Grundlage für das Audit sind die SMF-Sätze des Recordtyps 80. Die Informationen in der RACF-Datenbank legen dabei fest, welche Ereignisse in den SMF-Sätzen protokolliert werden. Es muss deshalb sichergestellt werden, dass diese SMF-Sätze geschrieben werden und für Auswertungen zur Verfügung stehen.

Überprüfung von RACF-Profilen

Die Auditoren sollten überprüfen, ob bei Neueinrichtungen und Veränderungen von RACF-Profilen

Gegenstand des Sicherheits-Audits

Ein vollständiges Sicherheits-Audit ist sehr komplex und muss eine große Anzahl von sicherheitsrelevanten Funktionen überwachen. Die folgenden Funktionen sollten mindestens überwacht werden:

Einsatz von Audit-Tools

Zur Kontrolle der zu überwachenden Definitionen sollte mindestens der DSMON von RACF und das RACFICE-Paket eingesetzt werden. Es ist zu prüfen, ob ein zusätzliches Programm-Paket beschafft werden sollte, das die Auditoren bei ihrer Arbeit unterstützt.

Wichtig ist, dass ein Audit nur zur Feststellung von Tatsachen und nicht zur Ermittlung von Schuldigen dient, siehe auch M 2.199 Aufrechterhaltung der Informationssicherheit.

Prüffragen: