M 2.216 Genehmigungsverfahren für IT-Komponenten
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT
Die Beschaffung, die Installation und der Betrieb von IT-Komponenten aller Art muss koordiniert und genehmigt sein. Es muss geregelt sein, wie IT-Komponenten abgenommen, freigegeben, installiert bzw. benutzt werden. Dies betrifft beispielsweise den Einsatz von Modems, Diskettenlaufwerken, Software und Mobiltelefonen. Eine entsprechende Vorgehensweise für den Bereich Standardsoftware ist in Baustein B 1.10 Standardsoftware beschrieben. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet: Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe, Installation, Lizenzverwaltung und Deinstallation. Um eine analoge Vorgehensweise für andere IT-Komponenten zu entwickeln, kann sich ebenfalls an diesem Baustein orientiert werden.
Im Rahmen des Genehmigungsverfahrens von neuen IT-Komponenten müssen
- die generelle Funktionstüchtigkeit untersucht werden (siehe auch M 4.65 Test neuer Hard- und Software),
- deren Sicherheitseigenschaften bewertet werden,
- mögliche Sicherheitsrisiken, die durch diese IT-Komponenten entstehen könnten, untersucht und bewertet sowie weitestgehend behoben werden,
- alle ihre Sicherheitseigenschaften (sowohl die positiven als auch die negativen) sorgfältig dokumentiert werden,
- auf dieser Basis Installationsanweisungen erarbeitet werden.
Während des Genehmigungsverfahrens sollten außerdem Installations- bzw. Konfigurationsanleitungen erarbeitet werden, in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. Auch nach der Erstinstallation von IT-Komponenten müssen diese weitergepflegt werden (siehe auch M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Vor der Inbetriebnahme neuer IT-Komponenten sind (sofern erforderlich) die Administratoren bzw. die Benutzer in deren Anwendung zu schulen.
Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.
Prüffragen:
-
Gibt es einen Prozess zur Koordination und Genehmigung bei Beschaffung, Installation und Betrieb von IT-Komponenten aller Art?
-
Liegen aktuelle Installations- bzw. Konfigurationsanleitungen mit allen sicherheitsrelevanten Einstellungen vor?