Bundesamt für Sicherheit in der Informationstechnik

M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Es muss eine Dokumentation der am IT-System zugelassenen Benutzer, angelegten Benutzergruppen und Rechteprofile erfolgen. Dabei gibt es verschiedene Dokumentationsmöglichkeiten wie beispielsweise über

  • vorgegebene Administrationsdateien des Systems,
  • individuelle Dateien, die vom zuständigen Administrator verwaltet werden,
  • in Papierform.

Es sollte eine geeignete Form ausgewählt werden, möglichst einheitlich für die gesamte Institution.

Dokumentiert werden sollten insbesondere folgende Angaben zur Rechtevergabe an Benutzer und Benutzergruppen:

Zugelassene Benutzer:

  • zugeordnetes Rechteprofil (gegebenenfalls Abweichungen vom verwendeten Standard-Rechteprofil)
  • Begründung für die Wahl des Rechteprofils (und gegebenenfalls der Abweichungen)
  • Zuordung des Benutzers zu einer Organisationeinheit, Raum- und Telefonnummer
  • Zeitpunkt und Grund der Einrichtung
  • Befristung der Einrichtung
Zugelassene Gruppen:
  • zugehörige Benutzer
  • Zeitpunkt und Grund der Einrichtung
  • Befristung der Einrichtung

Die Dokumentation der zugelassenen Benutzer und Rechteprofile sollte regelmäßig (mindestens alle 6 Monate) daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht. Die vollständige Dokumentation ist Voraussetzung für Kontrollen der vergebenen Benutzerrechte.

Die Dokumentation muss so gespeichert beziehungsweise aufbewahrt werden, dass sie vor unbefugtem Zugriff geschützt ist und so, dass auch bei einem größeren Sicherheitsvorfall oder IT-Ausfall darauf zugegriffen werden kann. Falls die Dokumentation in elektronischer Form erfolgt, muss sie in das Datensicherungsverfahren einbezogen werden.

Prüffragen:

  • Sind die zugelassenen Benutzer, angelegten Benutzergruppen und Rechteprofile dokumentiert?

  • Wird die Dokumentation der zugelassenen Benutzer, angelegten Benutzergruppen und Rechteprofile regelmäßig auf Aktualität überprüft?

  • Ist die Dokumentation der zugelassenen Benutzer, Benutzergruppen und Rechteprofile vor unbefugtem Zugriff geschützt?

  • Wird die Dokumentation der zugelassenen Benutzer, Benutzergruppen und Rechteprofile - sofern sie elektronisch erfolgt - in das Datensicherungsverfahren einbezogen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK