Bundesamt für Sicherheit in der Informationstechnik

M 2.216 Genehmigungsverfahren für IT-Komponenten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Beschaffung, die Installation und der Betrieb von IT-Komponenten aller Art muss koordiniert und genehmigt sein. Es muss geregelt sein, wie IT-Komponenten abgenommen, freigegeben, installiert bzw. benutzt werden. Dies betrifft beispielsweise den Einsatz von Modems, Diskettenlaufwerken, Software und Mobiltelefonen. Eine entsprechende Vorgehensweise für den Bereich Standardsoftware ist in Baustein B 1.10 Standardsoftware beschrieben. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet: Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe, Installation, Lizenzverwaltung und Deinstallation. Um eine analoge Vorgehensweise für andere IT-Komponenten zu entwickeln, kann sich ebenfalls an diesem Baustein orientiert werden.

Im Rahmen des Genehmigungsverfahrens von neuen IT-Komponenten müssen

  • die generelle Funktionstüchtigkeit untersucht werden (siehe auch M 4.65 Test neuer Hard- und Software ),
  • deren Sicherheitseigenschaften bewertet werden,
  • mögliche Sicherheitsrisiken, die durch diese IT-Komponenten entstehen könnten, untersucht und bewertet sowie weitestgehend behoben werden,
  • alle ihre Sicherheitseigenschaften (sowohl die positiven als auch die negativen) sorgfältig dokumentiert werden,
  • auf dieser Basis Installationsanweisungen erarbeitet werden.

Während des Genehmigungsverfahrens sollten außerdem Installations- bzw. Konfigurationsanleitungen erarbeitet werden, in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. Auch nach der Erstinstallation von IT-Komponenten müssen diese weitergepflegt werden (siehe auch M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen ). Vor der Inbetriebnahme neuer IT-Komponenten sind (sofern erforderlich) die Administratoren bzw. die Benutzer in deren Anwendung zu schulen.

Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.

Prüffragen:

  • Gibt es einen Prozess zur Koordination und Genehmigung bei Beschaffung, Installation und Betrieb von IT -Komponenten aller Art?

  • Liegen aktuelle Installations- bzw. Konfigurationsanleitungen mit allen sicherheitsrelevanten Einstellungen vor?

Stand: 13. EL Stand 2013