M 2.360 Sicherheits-Audits und Berichtswesen bei Speichersystemen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Umfang und Häufigkeit von Sicherheitsüberprüfungen auf Speichersystemen werden durch die Daten, die auf dem jeweiligen Speichersystem verarbeitet werden, bestimmt. Bei komplexen Systemen, in denen eine Vielzahl von Anwendungen ihre Daten auf dem Speichersystem ablegen, muss eine Analyse der Geschäftsprozesse und eine darauf abgestimmte Feststellung des Schutzbedarfs vorgenommen werden. Dabei ist für Anwendungen und Daten, die die wesentlichen Geschäftsprozesse unterstützen, der Schutzbedarf festzustellen, um Anforderungen an die Häufigkeit und Tiefe von Sicherheits-Audits zu erhalten. Wie üblich geben die strengsten Anforderungen einer einzelnen Anwendung die Vorgabe für das Gesamtsystem.

Zur Überwachung aller sicherheitsrelevanten Tätigkeiten muss ein Prozess eingerichtet werden. In diesem muss festgelegt sein, welche Sicherheitsreports regelmäßig erstellt werden. Da Speichersysteme komplex zusammengesetzt sein können, müssen Sicherheitsreports relevante Beobachtungen aus verschiedenen Quellen zusammenstellen und bewerten. Zudem muss festgelegt werden, wie mit Abweichungen von den Vorgaben umgegangen wird. Die Sicherheitsreports sollten als Information für den Auditor verwendet werden.

Inhalt eines Audits

Ein Audit gleicht die Sicherheitsvorgaben mit den aktuellen Einstellungen und Daten ab. Durch ein solches Audit wird überprüft, ob die geforderten Sicherheitseinstellungen und Abläufe eingehalten werden.

Ziel des Sicherheitsaudits

Wichtig ist, dass ein Audit nur zur Feststellung von Tatsachen und nicht zur Ermittlung von Schuldigen dient, siehe auch M 2.199 Aufrechterhaltung der Informationssicherheit.

Sicherheits-Berichtswesen

Das Resultat eines Audits kann als eine einfache Soll-Ist-Gegenüberstellung gehalten werden. Der Bericht soll in gebotener Kürze die Vorgaben z. B. aus der Sicherheitsrichtlinie darstellen und die Feststellungen des Audits zu den einzelnen Vorgaben darstellen. Wenn Abweichungen vom Soll gefunden werden und Maßnahmen zur Besserung bekannt sind, so sollten diese direkt in den Report geschrieben werden.

Unabhängigkeit der Auditoren

Die Durchführung der Audits muss durch unabhängige Auditoren erfolgen, d. h. das durchführende Personal darf sich und seine Arbeit nicht selbst auditieren.

Auch wenn die Tätigkeit der Auditoren durch die Administratoren des Speichersystems unterstützt wird, benötigen sie tiefere Kenntnisse über das Speichersystem zur Durchführung ihrer Tätigkeit. Diese Kenntnisse sind durch regelmäßige Schulungen zu erwerben bzw. zu aktualisieren.

Autorisierung der Auditoren

Wenn die Auditoren selbstständig und ohne Unterstützung durch die Administratoren tätig werden sollen, so ist eine Rolle "Auditor" für alle Komponenten des Speichersystems zu definieren. Die Rechte zu dieser Rolle sollten als "Nur Lesen" aller Einstellungen und Logdateien des Speichersystems definiert werden.

Wenn keine konkreten Vorgaben der Institution vorliegen, so sollte der Auditor mindestens die folgenden Bereiche prüfen:

Prüffragen: