M 2.525 Erstellung einer Sicherheitsrichtlinie für Speicherlösungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Speicherlösungen als zentrale Instanz zur Datenspeicherung einzusetzen, ist für viele Abläufe und Geschäftsprozesse einer Institution essenziell. Der sichere und ordnungsgemäße Betrieb kann nur sichergestellt werden, wenn Planung, Stationierung, Administration und Betrieb von Speicherlösungen in die bestehenden sicherheitstechnischen Vorgaben integriert sind.

Die zentralen sicherheitstechnischen Anforderungen und das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie. Die Anforderungen sollten in einer spezifischen Sicherheitsrichtlinie für Speicherlösungen formuliert werden, um die übergeordnete und allgemein formulierte Sicherheitsleitlinie im gegebenen Kontext zu konkretisieren und umzusetzen.

Grundlage für eine angemessene Definition von Forderungen, die in der Sicherheitsrichtlinie Ausdruck finden, ist die Dokumentation der Schutzbedarfsfeststellung aller Daten, die in einer ausgewählten Speicherlösung (M 2.362 Auswahl einer geeigneten Speicherlösung) gespeichert werden sollen. Nur hieraus lässt sich ableiten, welche Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit der Daten gestellt werden und entsprechend, welcher technische und organisatorische Aufwand angemessen ist.

Werden in einer Institution unterschiedliche Speicherlösungen (z. B. SAN, NAS, Objekt-Storage, Cloud Storage) eingesetzt, kann es sinnvoll für die Verantwortlichen sein, für die einzelnen Anwendungsfälle separate Sicherheitsrichtlinien zu erstellen und sich dabei an der vorliegenden Maßnahme zu orientieren.

Da SAN-Lösungen ein dediziertes Netz enthalten, ist für die Erstellung einer Sicherheitsrichtlinie für SAN-Lösungen zusätzlich die Maßnahme M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Komponenten, die in einem internen Netz den Zugang zu Informationen oder anderen Systemen ermöglichen, vorgestellt. Für die Erstellung einer Sicherheitsrichtlinie für NAS-Lösungen ist zusätzlich die Maßnahme M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Systeme mit einer Serverfunktion vorgestellt. Sofern Cloud-Storage-Lösungen zum Einsatz kommen, sind zusätzlich die Vorgaben aus M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung aus dem Baustein B 1.17 Cloud-Nutzung zu betrachten.

Weitere Aspekte, die in der Sicherheitsrichtlinie für Speicherlösungen behandelt werden müssen, sind:

Vorgaben für die Planung von Speichersystemen

Vorgaben für die Arbeit von Administratoren

Vorgaben für die Installation und Konfiguration der Speicherlösung

Vorgaben für den sicheren Betrieb

Prüffragen: