M 2.187 Festlegen einer RAS-Sicherheitsrichtlinie
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Administrator
Im Rahmen der Planung eines RAS-Zugangs zu einem LAN muss auch für den entfernten Zugang eine Sicherheitsrichtlinie festgelegt werden. Die durch die organisationsweiten IT-Sicherheitsrichtlinien geltenden Vorschriften sind dazu entsprechend anzupassen und zu erweitern. Die Regelungen sind zu dokumentieren und bei Änderungen fortzuschreiben.
Die für den entfernten Zugriff auf das lokale Netz geltenden Sicherheitsvorschriften sind allen Benutzern, denen der entfernte Zugriff erlaubt wird, mitzuteilen (siehe auch M 2.184 Entwicklung eines RAS-Konzeptes). Im Rahmen der Sicherheitsrichtlinie sollten Regelungen für folgende Bereiche festgelegt werden:
- Welcher Benutzer darf auf welche Daten zugreifen?
- Welcher Benutzer darf welche Applikationen nutzen?
- Welcher Benutzer darf auf welche Dienste bzw. Rechner zugreifen?
- Welcher Benutzer darf sich zu welchen Zeiten mit welchem RAS-Zugang verbinden?
- Welche Administratoren haben welche Aufgaben?
- Welche Authentisierungsmechanismen sind für den Zugriff zu benutzen?
- Welche Zugriffsrechte werden beim RAS-Zugriff jeweils vergeben?
- Ist der schreibende Zugriff auf Daten erlaubt?
- Ist für den schreibenden Zugriff nur ein spezieller Datenbereich zu nutzen (z. B. Incoming-Verzeichnis)?
- Wie werden mehrfache Authentisierungsfehler behandelt (z. B. Time-out verlängern, Benutzer sperren, RAS-Zugang sperren)?
- Unter welchen Umständen kann ein gesperrter RAS-Zugang wieder freigeschaltet werden? Wie ist der organisatorische Ablauf dafür?
- Unter welchen Umständen kann die Freischaltung auch aus der Entfernung veranlasst werden? Wie ist der organisatorische Ablauf dafür?
- Welche Daten werden protokolliert?
Dieser Fragenkatalog muss entsprechend den lokalen Gegebenheiten erweitert, angepasst und konkretisiert werden. Dabei sind die existierenden Sicherheitsrichtlinien zu berücksichtigen. Die übergreifenden Sicherheitsvorgaben dürfen durch die RAS-Sicherheitsrichtlinien nicht ausgehöhlt werden.
Im Rahmen des IT-Sicherheitskonzepts sollten für die durch die RAS-Sicherheitsrichtlinie vorgegebenen Regeln auch mögliche Reaktionen bei Verstößen festgelegt werden. Diese müssen jedem RAS-Benutzer bekannt sein.
Ergänzende Kontrollfragen:
- Werden alle relevanten RAS-Komponenten (Client, Server, Netzkoppelelemente) durch die RAS-Sicherheitsrichtlinie erfasst?
- Wie wird die Einhaltung der RAS-Sicherheitsrichtlinie überprüft?
- Unterliegt die RAS-Sicherheitsrichtlinie einer Fortschreibung, so dass veränderte Rahmenbedingungen erfasst werden?