Bundesamt für Sicherheit in der Informationstechnik

M 2.24 Einführung eines IT-Passes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Der erste Schritt bei der Erstellung eines Sicherheitskonzeptes besteht darin, sich einen Überblick über die vorhandenen Systeme, Anwendungen und Daten zu verschaffen. Für eine kleine Institution ist es im Allgemeinen effektiv, anhand der vorhandenen IT -Systeme vorzugehen. Daher sollte eine entsprechende Übersicht vorhanden sein. Ein Möglichkeit ist es, für jedes IT-System einen IT-Pass auszufüllen, der die wichtigsten Informationen über das IT-System zusammenfasst.

Der IT-Pass soll den IT-Verantwortlichen einen Überblick über die vorhandenen IT-Systeme in der Institution verschaffen und ein schnelles effektives Reagieren bei Problemen ermöglichen. Der IT-Pass ist immer dann sinnvoll einzusetzen, wenn es sich um eine sehr kleine Institution mit wenigen IT-Systemen handelt, bei der sich umfangreiche Strukturanalysen nicht lohnen. Hierzu sollten zunächst für jedes IT-System folgende Informationen erfasst werden:

  • Bezeichnung des IT-Systems (Inventarisierungsnummer)
  • Ansprechpartner für Problemfälle, z. B. Service- und Hotline-Nummern für den Ausfall und die Wartung des Systems
  • Informationen zum Betriebssystem
  • Informationen zum Virenscanner
  • Standort des Systems (Raum)
  • Übersicht über die wichtigsten Informationen und Anwendungen, die auf dem System gespeichert sind bzw. laufen
  • Schutzbedarf abhängig von Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit
  • Informationen zur Systeminstallation und zur Systemkonfiguration
  • zur Verfügung stehendes Zubehör
  • durchgeführte Wartungen und Reparaturen
  • Art der durchgeführten Datensicherungen

Hinweis: Die direkt an Endgeräte angeschlossenen Drucker werden nicht als eigenständige Komponenten, sondern als Teil des jeweiligen Endgeräts erfasst. In den IT-Pässen können sie unter Peripherie oder Hardware aufgeführt werden.

Gleichartige IT-Systeme wie Anwender- PC s können auch in Gruppen zusammengefasst werden. Für Mobiltelefone, PDA s oder ähnliche Geräte sollten ebenfalls zusammenfassend IT-Pässe erstellt werden, wobei die Felder des Passes entsprechend anzupassen sind.

Auch für Telefonanlagen und Anschlüsse an Datennetze sollten die wichtigsten Informationen in Form eines IT-Passes dokumentiert werden.

Um den Schutzbedarf eines IT-Systems zu dokumentieren, sollte der IT-Pass für jede wichtige Anwendung festhalten, ob dort z. B. personenbezogene Daten verarbeitet werden, und den Schutzbedarf abhängig von den Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit festlegen.

Zusätzlich können die durchgeführten Sicherheitsmaßnahmen am IT-System dokumentiert werden, so dass z. B. im Schadensfall schnell reagiert werden kann.

Die IT-Pässe sollten entweder vom Sicherheitsmanagement oder vom Administrator geführt werden. Sie können auch durch Mitarbeiter ausgefüllt werden, müssen aber dann danach inhaltlich und auf Vollständigkeit geprüft werden. Die IT-Pässe sollten zentral gespeichert werden, aber möglichst auch lokal verfügbar sein. Da sich bei gleichartigen IT-Systemen wie PCs viele Antworten wiederholen, ist es hilfreich, die IT-Pässe elektronisch zu führen. Die IT-Pässe sollten zentral gespeichert werden, aber möglichst auch lokal verfügbar sein.

Bei Änderungen an einem IT-System sind die Einträge im IT-Pass sofort anzupassen, so dass die Dokumentation immer auf dem aktuellen Stand ist.

IT-Pässe erleichtern die Durchführung von Kontrolltätigkeiten entschieden, da die Dokumentation aller durchgeführten relevanten Änderungen und Sicherheitsmaßnahmen aus den IT-Pässen hervorgehen. Außerdem unterstützt das Führen solcher IT-Pässe die regelmäßige Pflege der IT und Sicherheitsmaßnahmen, beispielsweise in Bezug auf Datensicherungen. Dies dient somit auch der Notfallvorsorge.

Ein Muster eines solchen IT-Passes findet sich unter den Hilfsmitteln zum IT-Grundschutz auf dem BSI-Webserver im "IT-Grundschutzprofil für eine kleine Institution".

Prüffragen:

  • Gibt es einen Überblick über die vorhandenen Systeme, Anwendungen und Daten in der Institution, z. B. in Form von IT-Pässen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK