Bundesamt für Sicherheit in der Informationstechnik

M 2.216 Genehmigungsverfahren für IT-Komponenten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Beschaffung, die Installation und der Betrieb von IT-Komponenten aller Art muss koordiniert und genehmigt sein. Es muss geregelt sein, wie IT-Komponenten abgenommen, freigegeben, installiert bzw. benutzt werden. Dies betrifft beispielsweise den Einsatz von Modems, Diskettenlaufwerken, Software und Mobiltelefonen. Eine entsprechende Vorgehensweise für den Bereich Standardsoftware ist in Baustein B 1.10 Standardsoftware beschrieben. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet: Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe, Installation, Lizenzverwaltung und Deinstallation. Um eine analoge Vorgehensweise für andere IT-Komponenten zu entwickeln, kann sich ebenfalls an diesem Baustein orientiert werden.

Im Rahmen des Genehmigungsverfahrens von neuen IT-Komponenten müssen

  • die generelle Funktionstüchtigkeit untersucht werden (siehe auch M 4.65 Test neuer Hard- und Software ),
  • deren Sicherheitseigenschaften bewertet werden,
  • mögliche Sicherheitsrisiken, die durch diese IT-Komponenten entstehen könnten, untersucht und bewertet sowie weitestgehend behoben werden,
  • alle ihre Sicherheitseigenschaften (sowohl die positiven als auch die negativen) sorgfältig dokumentiert werden,
  • auf dieser Basis Installationsanweisungen erarbeitet werden.

Während des Genehmigungsverfahrens sollten außerdem Installations- bzw. Konfigurationsanleitungen erarbeitet werden, in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. Auch nach der Erstinstallation von IT-Komponenten müssen diese weitergepflegt werden (siehe auch M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen ). Vor der Inbetriebnahme neuer IT-Komponenten sind (sofern erforderlich) die Administratoren bzw. die Benutzer in deren Anwendung zu schulen.

Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.

Prüffragen:

  • Gibt es einen Prozess zur Koordination und Genehmigung bei Beschaffung, Installation und Betrieb von IT -Komponenten aller Art?

  • Liegen aktuelle Installations- bzw. Konfigurationsanleitungen mit allen sicherheitsrelevanten Einstellungen vor?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK