M 2.579 Regelmäßige Audits des lokalen Netzes

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Behörden-/Unternehmensleitung

Bei allen Komponenten der LAN-Infrastruktur muss regelmäßig überprüft werden, ob alle festgelegten Sicherheitsmaßnahmen umgesetzt und ob diese korrekt konfiguriert sind. Dabei sollte allen Beteiligten deutlich gemacht werden, dass Audits immer nur dazu dienen sollen, um Tatsachen festzustellen und nicht für Schuldzuweisungen (siehe auch M 2.199 Aufrechterhaltung der Informationssicherheit).

Das Resultat eines Audits kann als eine einfache Soll-Ist-Gegenüberstellung gehalten werden. Der Bericht sollte in gebotener Kürze die Vorgaben z. B. aus der Sicherheitsrichtlinie darstellen und die Feststellungen des Audits zu den einzelnen Vorgaben darstellen. Werden Abweichungen vom Soll-Zustand gefunden und sind Abhilfe-Maßnahmen bekannt, so sollten diese im Report aufgenommen werden.

Unabhängigkeit der Auditoren

Die Durchführung der Audits muss durch unabhängige Auditoren erfolgen, d. h. das durchführende Personal darf sich und seine Arbeit nicht selbst auditieren.

Auch wenn die Tätigkeit der Auditoren durch die Administratoren unterstützt wird, benötigen sie tiefere Kenntnisse über das LAN, um ihre Tätigkeit durchführen zu können. Diese Kenntnisse sind durch regelmäßige Schulungen zu erwerben bzw. zu aktualisieren. Auditoren dürfen keine Änderungen im Netz vornehmen, daher benötigen sie höchstens Leserechte.

Wenn keine konkreten Vorgaben der Institution vorliegen, so sollten bei einem Audit mindestens die folgenden Bereiche geprüft werden:

Prüffragen: