Bundesamt für Sicherheit in der Informationstechnik

M 2.84 Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Beschaffungsstelle, Leiter Fachabteilung, Leiter IT

Nach Abschluss aller Tests müssen die Testergebnisse der Beschaffungsstelle vorgelegt werden. Die Entscheidung für ein Produkt hat jetzt die Beschaffungsstelle unter Beteiligung der Leiter der Fachabteilung und des IT-Bereichs aufgrund der Testergebnisse und des daraus resultierenden Preis-/Leistungsverhältnisses zu treffen. Hierbei ist insbesondere der Erfüllungsgrad der einzelnen Produkte gegenüber dem Anforderungskatalog in Relation zum Kaufpreis zu stellen. Auch sollten zusätzliche Funktionen der Produkte, die nicht im Anforderungskatalog aufgeführt wurden, aber dennoch für den Einsatz sinnvoll sind, bei der Entscheidung berücksichtigt werden.

Erstellen einer Installationsanweisung

Nach der Entscheidung für ein Produkt muss anschließend für das ausgewählte Produkt eine Installationsanweisung erstellt werden. Während des Testens wurde diejenige Konfiguration des Produktes ermittelt, die einen sicheren und effizienten Produktionsbetrieb erlaubt. Damit soll Benutzerfreundlichkeit, Ordnungsmäßigkeit und Sicherheit am Arbeitsplatz sichergestellt werden.

Um die geeignete Konfiguration des Produktes im Wirkbetrieb sicherzustellen, müssen bestimmte Parameter vorgegeben werden. Teilweise muss dies durch organisatorische Regelungen begleitet werden.

Für einige Eigenschaften eines Produktes wird im folgenden beispielhaft aufgezeigt, was im Rahmen einer Installationsanweisung vorgegeben werden kann.

Beispiel:

Benutzerfreundlichkeit:

  • Mit dem Produkt sind die Treiber X, Y und Z (Bildschirm, Drucker, Maus, Netz) zu installieren, um eine für den Benutzer akzeptable Arbeitsumgebung zu schaffen (Bildschirm flimmerfrei, vernünftige Druckaufbereitung, etc.).
  • Diejenigen Einstellungen, bei denen einzelne Funktionen die größte Verarbeitungsgeschwindigkeit haben, sind vorzugeben, wenn nicht andere Kriterien wie Sicherheit dagegen sprechen (die Größe der Auslagerungsdateien ist auf mindestens 10 MB festzusetzen, die Option Verifikation ist für die Datensicherung zu aktivieren, obwohl die Verifikation zusätzlichen Zeitaufwand erfordert).

Sicherheit:

  • Die Parameter für Sicherheitsfunktionen sind voreinzustellen (z. B. die Mindestlänge von Passwörtern muss festgelegt werden (siehe dazu auch M 2.11 Regelung des Passwortgebrauchs ), Datensicherungen sind täglich zu erstellen, die Protokollierung ist im vollen Umfang zu aktivieren, Zugriffsrechte auf personenbezogene Protokolldateien sind nur dem Datenschutzbeauftragten einzurichten, ...).
  • Werden mehrere sicherheitsrelevante Verfahren unterstützt (z. B. Verschlüsselungsalgorithmus, Hashfunktionen), sind diejenigen auszuwählen, mit denen ein angemessenes Schutzniveau erreicht wird (zur Auswahl siehe M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ).

Funktion:

  • Nur die Funktionen X, Y, und Z sind zu aktivieren, unerwünschte oder nicht benötigte Funktionen sind abzuschalten.
  • Die Funktion der automatischen Datensicherung ist mit dem Parameter "alle 10 Minuten" zu aktivieren.

Organisation:

  • Die Installation ist vom Administrator durchzuführen.
  • Regelungen für den Betrieb müssen erlassen werden (z. B. Datensicherungen sind eigenverantwortlich vom Anwender durchzuführen, Passwörter müssen nach 30 Tagen gewechselt werden).

Randbedingungen:

  • Die Konfiguration der Plattform, auf der das Standardsoftwareprodukt zum Einsatz kommen soll, muss insbesondere dann beschrieben und vorgegeben werden, wenn systembedingte Schwachstellen der Plattform damit beseitigt werden.

Prüffragen:

  • Wird für die ausgewählten Produkte eine Installationsanweisung erstellt, welche auch die Einstellung von Sicherheitsparametern berücksichtigt?

Stand: 13. EL Stand 2013